社外秘の資料を守るには？　情報漏洩を防ぐ管理・運用方法を解説

機密文書の種類

機密文書は一般的に、「社外秘文書」「秘文書」「極秘文書」の3つに分類されます。

社外秘と社内秘の違い

社外秘に対して、社内秘という言葉もあります。社内秘とは、社内の特定の人や部署に知られてはいけない情報のことです。部署内に限って共有が許される場合は、部外秘とも呼ばれます。社内秘あるいは部外秘は、社内の特定の範囲内や部署のみで共有・閲覧することができる情報です。

例えば、未発表の異動や転勤などの人事情報は通常、発表まで社内秘として扱われます。ほかに、経営戦略や新商品開発など、企業の経営・運営に関わる重要な情報も、社内秘として一部の従業員にしか共有されない場合があります。

従業員のセキュリティ意識不足

機密文書の中でも社外秘の資料は、自社の知的財産や重要な戦略情報を保護するために社外秘として分類されているものの、従業員であれば誰でも自由に閲覧できる情報です。そのため、従業員の認識として、それが機密情報であるという危機意識が希薄になっていることがあります。
従業員のセキュリティ意識の不足から、社外秘の資料の管理や扱いがずさんになることは、社外に機密情報が流出してしまう間接的な要因となりえます。

あわせて読みたい

• 情報リテラシーとは？　不足によるリスクと企業がとるべき対策を解説

紙ではなくデジタルデータ化されていることの弊害

現在のビジネス環境では様々な文書のデジタル化が進んでいて、社外秘の資料がデジタルデータとして保存されていることも一般的です。
デジタルデータには様々なメリットがありますが、コピーや名称変更が容易になり、管理が難しくなるという側面もあります。特に、従業員が自分の端末でコピーなどの操作を行える場合、意図せず情報が外部に流出するリスクは高くなります。

例えば、従業員が社外秘の資料データをノートパソコンにダウンロードし、自宅で作業を進めようとした場合、ノートパソコンを持ち運ぶあいだに紛失・盗難に遭えば、社外秘の資料の情報を窃取されてしまうかもしれません。
USBメモリにデータをコピーして持ち帰った場合も、コピー機で印刷して持ち帰った場合も同様です。何らかの理由でそのUSBメモリや印刷した資料を紛失したとしたら、社外秘の情報が外部に流出することになります。

競争上の不利益

機密情報が競争相手企業の手に渡る、あるいは公にされると、自社の競争力が大きく損なわれる可能性があります。
例えば、製品の設計図、マーケティング戦略の詳細、プライシング資料、顧客リストなどの内容が競合の企業に知られると、企業の市場地位や収益に関わるような大きなダメージにつながるかもしれません。

法的問題

流出した社外秘の資料の中に顧客やビジネスパートナーから提供された情報、または個人情報などの法律によって保護される情報が含まれていた場合、その流出は法的な問題を引き起こす可能性があります。また、訴訟や損害賠償といった法的な制裁を受けるリスクも生じます。

信頼の喪失

社外秘の資料や機密情報が流出したという事実は、顧客、ビジネスパートナー、投資家、そのほかのステークホルダーからの信頼を損なう原因となります。
長期的に見て、企業の評価やビジネスの成功に悪影響を及ぼす結果ともなるでしょう。

事後対処のためのコスト

情報流出によるインパクトが大きいほど、企業は流出の影響を最小限に抑えるための対策に翻弄されることになります。
内部調査、法的対応、外部への告知や問い合わせ対応、今後のセキュリティ強化などが求められることになり、対応のための様々なコストが発生します。

持ち出しを難しくする

社外秘などの機密情報を守るためには、その情報の持ち出しを困難にすることが有効です。具体的には、従業員のパソコンのローカルに保存できないようにする、印刷ができないようにするなどの制御が考えられます。
また、紙の資料を使う会議の資料に社外秘情報が含まれる場合には、会議終了後に資料を回収するなど、持ち出し阻止のためのルールを決めておく必要があります。

USBメモリなど記録媒体へのコピーや移動に関する制御も有効です。対策としては、コピー自体ができないようにパソコンのUSBポートを無効化する、または使用を制限する設定などが考えられます。これにより、意図的あるいは誤って情報を持ち出す行為を防げます。

アクセスを制御する

機密情報にアクセスできる従業員を制限することで、情報漏洩のリスクを軽減することができます。デジタルデータで管理している場合であれば、ファイルサーバーや端末内のデータを閲覧、編集、移動、名称変更できる従業員を限定し、社内であっても権限のない従業員からのアクセスができないように設定しておくのが有効です。
あらゆるデータに対してこうした設定を手動で行うのは非常に煩雑な作業を伴いますが、ファイルアクセス制御ツールなどの導入により管理を効率化することができます。

紙の文書については施錠管理し、保管してある部屋への入退室の制限や記録も行うなどの対策が有効です。ただし、紙の文書による情報管理は、火災・水損・盗難などによる物理的な損失、閲覧・利用記録の難しさ、バックアップの困難さといった問題があることも認識しておく必要があります。

あわせて読みたい

• アクセス制御とは？　機能や方式、制御システム導入時の考え方を解説

操作ログを監視する

情報へのアクセスや利用についてのログ（記録）を監視・保存し、その分析を通じて異常なアクセスや操作を早期に発見することで、機密文書への不正なアクセスを防ぐことができます。

管理ツールによっては、重要な文書を閲覧する際や印刷しようとする際に、機密文書であることを告げる警告メッセージを表示し、従業員に注意を促すことや、印刷枚数を監視して、過度な印刷が行われていないかを確認することなどが可能です。
紙の文書の場合でも、誰がそれを閲覧し、資料として利用し、コピーしたのかを記録する仕組みを整備する必要があります。

あわせて読みたい

• 操作ログはなぜ重要？　管理の必要性やメリット・デメリットを解説

機密情報の取扱ルールを整備する

社外秘など機密情報の保護は、従業員一人ひとりの行動に大きく依存します。そのため、従業員に対する明確な取扱ルールの周知と教育も欠かせません。
ルールには、「デスクの上に紙の文書を放置しない」「利用後は必ず保管場所に戻す」「無断でコピーしない」「情報を閲覧しているパソコンの画面をロックしていない状態で離席しない」といった項目が考えられます。

また、これらのルールを定期的に再確認し、現状に合わせて改善していくことも求められます。新たに入社する従業員に対する周知も必要です。

不要になったら破棄する

情報の管理は煩雑化しやすく、情報が溜まり続けていくほど情報漏洩のリスクも高まります。不要になった情報を適切に破棄する仕組みづくりも欠かせません。

不要となったデジタルデータは、完全に削除するための処理を施します。単にファイル削除を実行するだけでは、ファイルは完全に削除できません。専用のソフトウェアなどを用いるのがお勧めです。
紙の文書の場合はシュレッダーで粉砕するか、業者に依頼して溶解処理を行います。こうした情報のライフサイクル管理を徹底することで、情報漏洩のリスクを減らすことが可能となります。